Doctor HORACIO ULISES BARRIOS SOLANO, Premio Nacional de Ciencia “JOSÉ CECILIO DEL VALLE”

Como miembro de IFAC que fue fundada el 7 de octubre de 1977, en Munich, Alemania, en el 11º Congreso Mundial de Contadores para fortalecer la profesión contable mundial en el interés público por: Comenzando con 63 miembros fundadores de 51 países en 1977, la membresía de IFAC ha crecido hasta ahora incluyen más de 175 miembros y asociados en más de 135 países y jurisdicciones en todo el mundo.

[1]“En el mundo informatizado de hoy, surgen nuevos riesgos cada hora de cada día. Conexión a Internet abre la posibilidad de que un hacker orientación de su organización. La delincuencia informática se está convirtiendo en gran riesgo de negocio y cibernética en un foco de organizaciones y gobiernos a nivel mundial. riesgos monetarios y de reputación son altos si las organizaciones no tienen un plan de seguridad cibernética apropiada.

Las infracciones Encuesta 2018 Cyber Security reveló que más de cuatro de cada diez (43%) las empresas y dos de cada diez (19%) organizaciones benéficas en el Reino Unido sufrió un ataque cibernético. La encuesta encontró que el 38% de las pequeñas empresas había pasado nada en absoluto para protegerse de las amenazas de ciberseguridad. Una separada encuesta también encontró que un tercio de los británicos pequeñas empresas están arriesgando su seguridad en línea operando en o por debajo de la “línea de pobreza de seguridad”. Los tipos más frecuentes de la actividad criminal cibernético estaban enviando correos electrónicos fraudulentos y hacerse pasar por organizaciones en línea. También se encontraron correos electrónicos maliciosos a ser el tipo más común de ataque cibernético en el Informe sobre las amenazas de seguridad e Internet. Las consecuencias de los delitos cibernéticos son costosos como el coste medio total de una violación de datos en 2019 es de $ 3,92 millones en la investigación realizada por el Instituto Ponemon.

¿Cuál es la seguridad cibernética? La ciberseguridad es asegurarse de que los datos de las organizaciones está a salvo de los ataques de ambos malos actores internos y externos. Puede abarcar un conjunto de tecnologías, procesos, estructuras y prácticas usadas para proteger las redes, computadoras, programas y datos contra el acceso no autorizado o daños. El objetivo de cualquier estrategia de seguridad cibernética es para asegurar la confidencialidad, integridad de datos y la disponibilidad. Hay varios medios principales por los cuales las cuestiones de seguridad cibernética pueden afectar (o incluso destruir) una organización y su reputación. Existe el riesgo de que un hacker podría obtener información confidencial, como la cuenta bancaria o tarjetas de crédito detalles. Hay mercados abiertos para dicha información en el “web oscura[2]”. Si otros acceder a dicha información sensible, la organización podría encontrar sus servicios bancarios o de tarjetas de crédito retirados o en violación de las leyes de privacidad. Cada mes, las brechas de seguridad de alto perfil que afectan a los datos individuales son reportados a nivel mundial.

Un segundo pero relacionado problema es que cuando un hacker obtiene información sensible acerca de la organización puede encontrar su reputación arruinada. Pocas organizaciones pequeñas pueden sobrevivir el daño a su reputación que tales datos perdidos pueden causar. El daño a la reputación y la buena voluntad podría ser más agobiante que la propia pérdida de datos real. La pérdida de datos de clientes puede resultar en una acción legal o reglamentaria en contra de la organización. Una tercera parte podría presentar una demanda contra una organización que ellos mismos han incurrido en una pérdida. Las organizaciones también pueden estar sujetos a penalizaciones importantes y / o acción legal derivada de las infracciones de las leyes de privacidad en muchas jurisdicciones.

El aspecto más reciente y alarmante de la seguridad cibernética que causa problemas considerables para las organizaciones es el ransomware[3]. Ya en 2012, los informes de las campañas de ransomware han adoptado modelos de negocio centrados en el comercio. En muchos casos, una pieza de malware se disfraza y se incrusta dentro de otro tipo de documento sólo esperando a ser ejecutado por el usuario de destino. Tras la ejecución, el programa malicioso puede cifrar los datos de la organización con una clave de codificación secreta 2.048 bits o comunicarse con un servidor de comando y control centralizado para esperar instrucciones llevadas a cabo por el adversario. Una vez infectado, los datos de la organización sigue siendo inaccesible como la cifra los datos utilizando la clave de cifrado atacantes. Una vez que todos los datos accesibles se cifran, incluso en muchos casos, los datos y los sistemas de copia de seguridad, la organización será instruido sobre cómo pagar un rescate en cuestión de días, o adversario eliminará la clave de cifrado y se perderán los datos. Literalmente, el adversario contiene los datos a rescate, de ahí, ransomware. La clave de cifrado es lo suficientemente fuerte que el agrietamiento la tecla en lugar de pagar el rescate es antieconómico-algunos estiman que una computadora de escritorio promedio era de cinco mil billones de años para descifrar los datos sin la llave En algunos casos, la organización de destino puede esperar que algunos investigadores pueden haber descubierto una manera de descifrar los datos en base a un defecto de diseño. De lo contrario, la organización tendrá que buscar para restaurar los sistemas y los datos de una caja de seguridad copia de seguridad o considerar el pago del rescate.

Gobierno ciberseguridad Un programa de gestión de gobierno de seguridad cibernética y el riesgo se debe establecer que es apropiado para el tamaño de la organización. riesgo la seguridad cibernética debe ser considerado como un riesgo significativo de negocios por los propietarios y directores. Esto debe estar en el mismo nivel que el cumplimiento, riesgos operativos, financieros y de reputación con los criterios de medición adecuados y los resultados monitoreados y administrados.

Hay marcos voluntarios que pueden ser utilizados para considerar la evaluación de riesgos y mejores prácticas relacionadas. Por ejemplo, el Instituto Nacional de Estándares y Tecnología (NIST) Marco Ciberseguridad incluye cinco funciones simultáneas y continuas:

  1. Identificar: Desarrollar un entendimiento de organización para gestionar el riesgo de la seguridad cibernética de los sistemas, las personas, los bienes, los datos y capacidades.
  2. Proteger: Desarrollar y aplicar las salvaguardas apropiadas para asegurar la entrega de los servicios críticos.
  3. Detectar: Desarrollar e implementar actividades adecuadas a la identidad de la ocurrencia de un evento de seguridad cibernética.
  4. Responder: Desarrollar e implementar actividades adecuadas a tomar acción respecto a un incidente de seguridad cibernética detectado.
  5. Recuperar: Desarrollar e implementar actividades apropiadas para mantener los planes para la resistencia y para restaurar las capacidades o servicios que fueron perjudicadas debido a un incidente de seguridad cibernética.

Protección contra software malicioso y ataques externos: Las nuevas amenazas continúan surgiendo y cada organización necesita para asegurarse de que está equipado para hacer frente a un panorama de amenazas dinámico. Las siguientes son algunas de las utilidades del sistema más críticos y soluciones que se utilizan para ayudar a mitigar estos ataques maliciosos:

  • Los cortafuegos son software (y también de hardware) diseñado para proteger el sistema contra ataques de personas que acceden a los sistemas de la organización a través de dos enlaces de comunicación internos y externos.
  • Las soluciones de protección de malware / spyware y web proxy protegen el sistema de código de software que pueden ser de ventanas pop-up o tienen la intención más insidioso, tales como el registro de usuarios y contraseñas con fines fraudulentos.
  • El software anti-spam protege a las bandejas de entrada de correo electrónico se obstruyen por correo electrónico Emitido no deseado.
  • El software anti-phishing[4]protege a los usuarios que visitan los sitios web que están diseñados para capturar la información de usuario que puede ser utilizado con fines fraudulentos.

Todos son obligatorios para cualquier sistema bien gestionado que utiliza una estrategia de defensa en profundidad. El coste de un ataque puede ser significativo, que implica la pérdida de datos, el fraude, y el costo de los sistemas de reconstrucción y debe ser analizada con el costo de defenderse contra este tipo de amenazas. Se recomienda el uso de un conocido, proveedor de confianza. Algunas empresas pretenden suministrar estos servicios públicos, pero, de hecho, las empresas de servicios públicos a sí mismos pueden ser software malicioso. Tenga cuidado con el uso de software o software libre de un vendedor desconocido. En general, lo mejor es utilizar las utilidades recomendados por la integración de sistemas de la empresa (soporte técnico) organización, ya que será responsable de la instalación, configuración y mantenimiento. El mantenimiento de estas aplicaciones es crítico. El nuevo software malicioso surge todos los días. La mayoría de los proveedores de software proporcionan al menos una actualización automática diariamente a sus bases de datos para asegurar que el sistema continúa a una protección eficaz. Asegurar que estas actualizaciones se aplican correctamente es esencial.

Planes de mantenimiento de hardware Los contratos de mantenimiento deben ser mantenidas con los proveedores de hardware de modo que los errores de hardware pueden ser rectificados rápidamente. Estos contratos deben especificar los niveles de servicio que el proveedor se reunirá en caso de fallo. crítico de hardware, tales como servidores, conmutadores y tecnologías de copia de seguridad requieren pronta atención. Muchos contratos especifican respuesta de cuatro horas para el fracaso de estos componentes. Otros, menos crítica de hardware, tales como estaciones de trabajo individuales pueden tener tiempos de respuesta más largos. Algunas organizaciones, particularmente en áreas remotas, la compra de algunos componentes críticos que tienen un mayor potencial para fallar, tales como fuentes de alimentación, como piezas de repuesto que pueden reemplazar rápidamente un componente que ha fallado. Las organizaciones que dependen de contratos de mantenimiento deben garantizar que la empresa de soporte mantiene un suministro adecuado de componentes de repuesto para cumplir con los compromisos de nivel de servicio organizaciones. La calidad de la compañía de la ayuda externa de la organización es fundamental para asegurar que los sistemas están implementados y soportados correctamente. Las cuestiones que deben tenerse en cuenta en la selección de una compañía adecuada incluyen:

  • Sus conocimientos y experiencia con la configuración del hardware y el sistema operativo de la organización.
  • Sus conocimientos y experiencia con el software de aplicación de la organización.
  • Certificaciones llevan a cabo con las principales compañías de hardware y software, que proporciona una garantía en cuanto a la competencia de las personas de la organización.
  • El número de personas dentro de la empresa que tiene los conocimientos necesarios para apoyar el sistema-esto es fundamental como una dependencia de un único individuo puede provocar un retraso importante y el costo debe ser ese individuo disponible por cualquier motivo.
  • Su capacidad de proporcionar servicios de apoyo a distancia para permitir una respuesta rápida a los problemas a un costo razonable.
  • Adecuada diligencia debida y gestión de riesgos distribuidor para asegurarse de que el tercero está proporcionando los servicios en base a las expectativas de las organizaciones.

Las personas y Documentación: Cada organización debe establecer un plan para mitigar el riesgo de las personas clave no esté disponible en caso de un fallo del sistema. Mantenga una lista de datos de contacto para los técnicos de copia de seguridad. Documentar la configuración de hardware y aplicaciones de software y mantener esta situación hasta la fecha por lo que un nuevo técnico puede reconstruir rápidamente el sistema.

Policías y procedimientos: procedimientos adecuados de gobierno de TI dentro de una organización son críticos. Implementar un proceso formal de evaluación de riesgos y desarrollar políticas para asegurar que los sistemas no sean mal utilizados y asegurar que las políticas aplicables son continuamente revisados y actualizados para reflejar los riesgos más actuales. Esto incluye el desarrollo de políticas y procedimientos de respuesta a incidentes de responder adecuadamente a, cuenta y ayudar a mitigar el costo de una posible infracción. La educación continua a todos los empleados sobre los riesgos de la tecnología debe formar parte del marco de gestión del riesgo de las organizaciones, con las posibles violaciones de seguridad están mitigando como resultado de la educación y las políticas que se promulgaron a todos los niveles del personal. Las políticas deben incluir, pero no están limitados a:

  • Gestión de cuentas de usuario: reglas y políticas para todos los niveles de usuarios; procedimientos para asegurar el descubrimiento oportuno de los incidentes de seguridad; sistemas de información y datos confidenciales están protegidos de usuarios no autorizados.
  • Gestión de datos: el establecimiento de procedimientos eficaces para gestionar los repositorios de datos, copia de seguridad y recuperación y eliminación adecuada de los medios de comunicación. la gestión eficaz de los datos ayuda a garantizar la calidad, la puntualidad y la disponibilidad de los datos empresariales.
  • Seguridad IT y gestión de riesgos: proceso que mantiene la integridad de la información y la protección de los activos de TI. Este proceso incluye el establecimiento y mantenimiento de TI papeles y responsabilidades de seguridad, políticas, normas y procedimientos jurisdicciones individuales son propensos a tener la legislación promulgada que puede requerir políticas particulares o cuestiones dentro de una política en particular, que deben abordarse. políticas comunes se enumeran a continuación y el uso del sistema de cubierta, el uso del correo electrónico, el uso de Internet y el acceso remoto.

Política de Uso del Sistema: Una política de uso del sistema se describen en general las reglas por las que los sistemas de las organizaciones de TI pueden ser utilizados. elementos de ejemplo a ser considerados en esta política incluyen:

  • El uso obligatorio de contraseñas en todos los sistemas, tales como teléfonos y tabletas, incluyendo la necesidad de que las contraseñas se cambian con regularidad y la prohibición de proporcionar contraseñas a otros miembros del equipo o de terceros.
  • Prohibición de copiar datos de la organización y la eliminación de los datos de la oficina sin aprobación.
  • El cifrado de los palillos de la memoria / USB.
  • La seguridad física de los equipos.
  • El uso del sistema durante el horario laboral.
  • Reglas para el uso privado del sistema, si se permite, fuera del horario laboral.
  • autenticación de múltiples factores – el uso de más de un método de autenticación de categorías independientes de credenciales para verificar la identidad del usuario para iniciar sesión.

Política de correo electrónico elementos de ejemplo a ser considerados en una política de uso de correo electrónico incluyen:

  • Prohíbe el uso de correo electrónico personal responsable de los asuntos de negocios.
  • La prohibición de abrir archivos adjuntos de correo electrónico de fuentes desconocidas (ya que pueden contener software malicioso).
  • Prohibir el acceso cuentas de correo electrónico de otros individuos.
  • Prohibir las contraseñas de cuentas de correo electrónico para compartir.
  • Que prohíbe el uso personal excesivo de correo electrónico de la organización.
  • Notificación de que la organización hará un seguimiento de correo electrónico.

Política de Uso de Internet: elementos de ejemplo a ser considerados en una política de uso de Internet incluyen:

  • Limitar el uso de Internet para fines comerciales.
  • La notificación de la capacidad de la organización para realizar un seguimiento del uso de Internet.
  • Prohibir el acceso a sitios que son ofensivos para una persona de género, sexualidad, religión, nacionalidad, o la política.
  • Asegurar que las descargas se producen sólo de un sitio web seguro y de confianza.
  • Prohibir la descarga de archivos ejecutables (programas) ya que pueden contener software malicioso, y también prohíbe la descarga de música pirateada, películas o software.
  • La prohibición de proporcionar dirección de correo electrónico de negocios del usuario con el fin de limitar la probabilidad de correo no deseado.
  • Consecuencias de la violación.

Directiva de acceso remoto: elementos de ejemplo a ser considerados en una directiva de acceso remoto incluyen:

  • Aprobaciones requeridas para el acceso externo.
  • El reembolso de los costes de acceso externo.
  • Procedimientos de seguridad (incluida la divulgación de contraseñas, el uso de terceros de sistema, desconexión de otras redes, mientras que el acceso a los sistemas de la organización, el uso de servidores de seguridad y la instalación de un software apropiado para proteger el sistema remoto de los ataques maliciosos y autenticación de múltiples factores).
  • La seguridad física de los equipos suministrados por la organización tales como ordenadores portátiles.
  • Informar de cualquier posible violación de seguridad, acceso no autorizado o la divulgación de los datos de las organizaciones.
  • Acuerdo que la organización puede supervisar las actividades del usuario externo para identificar patrones inusuales de uso u otras actividades que puedan aparecer sospechoso.
  • Consecuencias del incumplimiento.

Seguro: un seguro adecuado debe cubrir el costo de reemplazar la infraestructura dañada, así como los costos de mano de obra para investigar el incidente, reconstruir y restaurar los sistemas de datos. Considere también un seguro para la pérdida de productividad como resultado de un fallo del sistema principal o un evento catastrófico”

[1] Partner, aseguramiento y asesoramiento de riesgos y Líder Nacional: Aseguramiento de la Información y Ciberseguridad, Cherry Bekaert LLP

[2] Internet profunda (del inglés, deep web), internet invisible  o internet oculta es el contenido de internet que no está indexado por los motores de búsqueda convencionales, debido a diversos factores. El término se atribuye al informático Mike Bergman. Es el opuesto al Internet superficial.

[3] Un ransomware o “secuestro de datos” en español, es un tipo de programa dañino que restringe el acceso a determinadas partes o archivos del sistema operativo infectado, y pide un rescate a cambio de quitar esta restricción Wikipedia

[4] El phishing es una técnica de ingeniería social utilizada por los delincuentes para obtener información confidencial como nombres de usuario, contraseñas y detalles de tarjetas de crédito haciéndose pasar por una comunicación confiable y legítima

Loading

¿De cuánta utilidad te ha parecido este contenido?

¡Haz clic en una estrella para puntuar!

Promedio de puntuación 0 / 5. Recuento de votos: 0

Hasta ahora, ¡no hay votos!. Sé el primero en puntuar este contenido.

Artículos relacionadosMás del autor

Dejar una respuesta

Please enter your comment!
Please enter your name here